Investigadores en ciberseguridad han detectado un módulo escrito en Go que se presenta como una supuesta herramienta de fuerza bruta para SSH, pero que en realidad está diseñado para robar credenciales y enviarlas a su creador mediante un bot de Telegram.

Cómo opera el malware

Según los hallazgos, en el primer inicio de sesión exitoso, el paquete transmite la dirección IP objetivo, junto con el nombre de usuario y la contraseña, a un bot de Telegram controlado por el atacante. El módulo malicioso, denominado golang-random-ip-ssh-bruteforce, fue publicado el 24 de junio de 2022 y permanece accesible en pkg.go[.]dev, aunque su cuenta vinculada en GitHub (IllDieAnyway, también conocida como G3TT) ya no está disponible.

El funcionamiento del paquete consiste en:

• Escanear direcciones IPv4 aleatorias en busca de servicios SSH expuestos en el puerto TCP 22.
• Realizar intentos de acceso mediante un listado predefinido de usuarios y contraseñas débiles.
• Enviar automáticamente las credenciales exitosas a un bot de Telegram controlado por el atacante.

Detalles técnicos clave

El código malicioso desactiva la verificación de claves de host utilizando ssh.InsecureIgnoreHostKey, lo que permite aceptar cualquier servidor SSH sin validar su autenticidad. El listado de usuarios incluye únicamente root y admin, combinados con contraseñas comunes como:

• root
• test
• password
• admin
• 12345678 / 1234
• qwerty
• webadmin / webmaster
• techsupport
• letmein
• Passw@rd

El proceso se ejecuta en un bucle infinito que genera direcciones IPv4 de manera aleatoria, realizando conexiones simultáneas con las credenciales de la lista. Una vez logra un inicio de sesión válido, los datos se envían al bot de Telegram @sshZXC_bot y posteriormente al usuario @io_ping (Gett).

Vínculos del actor de amenazas

Un registro en Internet Archive muestra que el perfil eliminado de GitHub contenía otros proyectos sospechosos, como:

• Un escáner de puertos IP.
• Un parser de perfiles e imágenes de Instagram.
• Un botnet C2 en PHP denominado Selica-C2.

Además, su canal de YouTube —aún activo— incluye videos sobre cómo hackear bots de Telegram y un supuesto “SMS bomber” para la Federación Rusa, capaz de enviar mensajes masivos por SMS y a usuarios de VK a través de un bot en Telegram. Se estima que el atacante es de origen ruso.

Por qué este ataque es preocupante

Este malware aprovecha a operadores desprevenidos para realizar los escaneos e intentos de acceso, distribuyendo el riesgo entre diferentes direcciones IP, mientras concentra los resultados en un único bot bajo control del atacante.

Entre sus características se destacan:

• Deshabilita la verificación de host para conexiones rápidas.
• Opera con alta concurrencia para maximizar resultados.
• Finaliza tras el primer acceso válido, priorizando la obtención rápida de credenciales.
• El uso de la API de Telegram sobre HTTPS hace que el tráfico se camufle como peticiones web normales, evadiendo controles básicos de salida.

Este hallazgo subraya la importancia de vigilar la seguridad en la cadena de suministro de software y evitar depender de módulos desconocidos que puedan ser explotados con fines maliciosos.